pfSense Керування пропускною здатністю: Налаштування формувача трафіку

Для початку увійдіть у свою систему pfSense за допомогою веб-інтерфейсу. Далі відкрийте меню формувача трафіку, яке знаходиться на вкладці брандмауера.

PfSense дозволяє вручну налаштувати формувач трафіку, хоча я б радив скористатися майстром формувача трафіку, а потім, якщо потрібно, налаштувати речі.

Клацніть на вкладку "майстри", а потім виберіть посилання майстра, яке відповідає вашим поточним налаштуванням. Моя система pfSense налаштована як подвійний маршрутизатор Wan, тому я буду використовувати майстер Single Wan Multi Wan. Якщо у вас є лише одне підключення до глобальної мережі та локальної мережі, вам також слід скористатися цим майстром.

На наступному кроці потрібно ввести кількість підключень WAN на маршрутизаторі. Якщо у вас один маршрутизатор WAN, просто введіть "1". Якщо у вас є подвійний маршрутизатор WAN, ви введете "2". Якщо ви не впевнені, скільки інтерфейсів налаштовано, натисніть вкладку стану, а потім виберіть інтерфейси.

На сторінці конфігурації формувача першим ділом потрібно вибрати планувальник локальної мережі.

Я рекомендував би використовувати за замовчуванням HFSC (Ієрархічна крива справедливого обслуговування). Якщо вам потрібне лише дуже елементарне формування, ви можете використовувати PRIQ (Priority Queuing), який легко модифікувати, але не такий ефективний.

У вікні завантаження підключення рекомендую ввести "97%" від максимальної пропускної здатності з’єднання. Наприклад, якщо ваш Інтернет-провайдер надає вам 1 Мбіт / с (1000 Кбіт / с) вище, то ви помножите 1000 х 97%, щоб отримати 970 Кбіт / с. Це гарантуватиме, що пакети стоять у черзі у вашій системі pfSense замість маршрутизатора вищого рівня, над яким ви не маєте контролю.

У полі завантаження підключення введіть максимальну швидкість підключення.

Якщо ви не впевнені у швидкості з’єднання, зв’яжіться зі своїм провайдером або скористайтеся онлайн-тестом швидкості, щоб отримати оцінку. Можливо, вам доведеться трохи налаштувати ці налаштування, щоб знайти оптимальну конфігурацію для вашого з’єднання.

Якщо ви використовуєте телефони VOIP, ви, ймовірно, захочете визначити пріоритет трафіку, який надсилають телефони. Установіть прапорець, щоб увімкнути це налаштування. Потім виберіть свого постачальника послуг VOIP зі списку.

Якщо вашого постачальника немає в списку, виберіть «загальний», а потім введіть IP вашого телефону VOIP. Якщо у вашій мережі кілька телефонів VOIP, ви можете створити псевдонім (брандмауер псевдоніми), який складається з декількох хостів.

Якщо ви не використовуєте VOIP, залиште це налаштування вимкненим і натисніть далі.

Якщо у вашій мережі є один або декілька хостів, які використовують більшу частину смуги пропускання, ви можете помістити їх у «штрафну коробку», щоб обмежити їх використання певним відсотком доступної пропускної здатності. Як і в попередньому налаштуванні, якщо вам потрібно перерахувати більше одного хоста, вам потрібно буде створити псевдонім.

У цьому розділі майстра ви можете вказати, чи слід розставляти пріоритети однорангового мережевого трафіку. Майже кожен захоче увімкнути цю настройку, оскільки трафік P2P часто є найбільшим користувачем Інтернет-смуги пропускання в мережі. Увімкніть прапорці біля кожної програми, яку потрібно шукати формувач трафіку у вашій мережі.

Ви також можете увімкнути налаштування P2P для всіх, щоб штрафувати некатегоризований трафік. Якщо цей параметр увімкнено, будь-який трафік, не класифікований спеціально у формувачі трафіку, буде вважатися трафіком P2P. Як правило, я не люблю використовувати цей параметр, оскільки я вважаю, що він занадто широкий, але якщо ви хочете застосувати агресивний підхід до формування пакетів, ви можете ввімкнути цей параметр.

Якщо існує певний протокол, який потрібно заблокувати, якого немає в списку, я покажу вам, як вручну створити правило, далі в цьому посібнику.

На сторінці мережевих ігор ви можете надати пріоритет ігрового трафіку в мережі. Це дуже корисно для зниження затримки ігрового трафіку, який дуже чутливий до часу.

З цим налаштуванням увімкнені користувачі в мережі все ще можуть завантажувати / завантажувати файли, не впливаючи на користувачів, які грають у ігри. Наприклад, гравці MMORPG ігор, таких як Світ військового мистецтва можуть покращити час пінгу, увімкнувши цю опцію.

Ви також можете індивідуально підвищувати або знижувати пріоритет, призначений різним програмам. Більшість опцій на цій сторінці залежать від програм, що використовуються у вашій мережі. Більшість користувачів, мабуть, захочуть підвищити пріоритет HTTP, DNS та ICMP. Залежно від того, наскільки електронна пошта важлива для вашої мережі, ви можете підняти або опустити її місце в черзі.

Якщо майстер не перелічить усіх потрібних вам програм, ви можете створити власні власні правила формування трафіку.

Якщо майстер не вказав програму чи протокол, які потрібно перетворити на трафік, ви можете додавати або редагувати правила, створені майстром, за потреби. Правила, створені формувачем, знаходяться на сторінці Брандмауер Правила. Клацніть на вкладці з написом "плаваюча", і ви побачите список правил, створених майстром.

Якщо ви не бачите правил, запустіть майстер ще раз і переконайтеся, що програми ввімкнено. Іноді вам потрібно скасувати / встановити прапорець. Якщо параметри виділені сірим кольором, вони не ввімкнені.

Ви можете налаштувати порти існуючих правил або створити цілком нові правила, якщо хочете. Найпростіший спосіб зробити це - створити правило на основі існуючого правила, подібне до того, що ви намагаєтесь виконати. Для цього клацніть символ плюс біля правила, яке потрібно скопіювати. Назви черг досить зрозумілі щодо того, яке їх призначення.

Щоб переглянути список усіх черг та їх поточні налаштування, відкрийте сторінку формувача трафіку, яка знаходиться в меню брандмауера.

Після завершення налаштування формувача рекомендую відстежувати стан черг. Добре перевірити черги під час використання інтенсивної пропускної здатності, щоб переконатися, що все працює належним чином. Можливо, вам доведеться з часом зробити невеликі доробки, щоб покращити систему.

Сторінка стану черги знаходиться в меню діагностики. Якщо в черзі відображаються перепади, тоді трафік перевищує пропускну здатність, виділену для цієї черги. Це нормально, коли в черзі P2P або в інших чергах з низьким пріоритетом падають: це означає, що формувач трафіку виконує свою роботу.

Якщо ви спостерігаєте падіння на черзі ack або черги за замовчуванням, можливо, вам доведеться надати їм більше пропускної здатності. Це можна зробити на сторінці налаштувань формувача трафіку, натиснувши чергу, яку потрібно налаштувати.

Подяки (acks) можуть споживати дуже велику частину загальної пропускної здатності під час великих завантажень. Чим швидше комп’ютер може підтвердити отримання пакету, тим швидше комп’ютер-відправник надішле наступний фрагмент файлу, тому ви хочете, щоб ці пакети швидко покинули вашу мережу.